Apple裝置遭逢隱私危機 Mac版Zoom偷裝Web伺服器及Apple Watch對講機應用遭駭可竊聽iPhone
首先,蘋果悄悄釋出更新版Mac,移除在未經用戶同意下將用戶加入熱門的視訊會議App Zoom的一項伺服器元件。Zoom是一款新興的視訊會議App,全球用戶超過400萬,但是安全研究人員Jonathan Leitschuh發現,Zoom會在Mac電腦用戶安裝這款App時暗中安裝Zoom Web伺服器,使得任何網站都可以在未取得用戶同意下強制啟動電腦上的Web攝影機,而將用戶加入Zoom視訊會議。
研究人員還發現,即使在用戶反安裝Zoom App後,這個神祕的Web伺服器元件也無法移除掉,使Zoom之後還可以重新安裝到電腦上,完全不需用戶動手。研究人員並在部落格上示範漏洞的操作過程。
事情爆發後,星期二Zoom立即釋出不含Web伺服器元件的新版App。但是蘋果為了確保Zoom App用戶不受隱藏版Web伺服器「漏洞」的危害,於周四釋出移除掉Zoom Web伺服器的Mac更新。用戶無需動作,更新軟體就會自動部署給用戶。
蘋果之前也常悄悄釋出Mac更新版以阻止已知惡意程式,但是對一款合法或熱門App做這種事則很罕見。
緊接著,蘋果又接獲安全人員通報,Apple Watch上的對講機App – Walkie Talkie有一款不知名的漏洞,迫使蘋果周四晚間關閉這款App的通話功能。Walkie Talkie App首先出現於watchOS 5。使用者傳送邀請給友人,對方接受後,雙方就可以像對講機或手機一樣發出push to talk(PPT)單向通話,用戶按住App按鍵即可發話,對方也必須按按鍵才能回話。
蘋果對Techcrunch證實,Walkie Talkie App的漏洞可使另一用戶的iPhone通訊被竊聽。蘋果因而緊急關閉其通話功能,不過這款App仍然留存在Apple Watch上。
今年一月iPhone上的 FaceTime的群組通話功能也被使用者發現漏洞,A用戶可以將自己加入群組並撥FaceTime給B用戶,即使B還未接起通話,A就能先聽到B的聲音甚至看到其影像,達到竊聽的目的。蘋果也是先關閉FaceTime群組通話功能,之後再更新iOS修補這項瑕疵。